Il Comitato europeo ha rilasciato in consultazione pubblica le linee guida 01/2021 contenenti esempi di data breach, conseguenti valutazione dei rischi ed azioni correttive e di mitigazione.
L’approccio, meno teorico e maggiormente operativo, segue le osservazioni evidenziate nella prima relazione della Commissione a due anni dall’applicazione del GDPR in cui – insieme all’apprezzamento per il lavoro svolto dal Comitato europeo – si leggeva che le parti interessate «(s)ottolineano inoltre la necessità di una consulenza più pratica, in particolare di esempi maggiormente concreti». Per una sintesi della relazione si veda l’Alert del 16/7/2020.
Violazione di dati personali
La violazione di dati personali o “data breach” è un incidente di sicurezza con impatti sui dati personali che causano limitazioni di:
- confidenzialità (cioè individui non autorizzati prendono conoscenza dei dati)
- integrità (cioè i dati subiscono alterazioni)
- disponibilità (cioè i dati non sono disponibili, seppure temporaneamente).
Le 6 regole del data breach
La violazione dei dati personali, piuttosto che una prescrizione, è un processo che si articola in sei passi principali ciascuno dei quali racchiude una regola.
Per adempiere correttamente agli obblighi di
- notifica all’autorità
- comunicazione agli interessati coinvolti
- documentazione dell’incidente
occorre che il processo si svolga compiutamente, con adeguati presidi per ciascuno dei sei passaggi.
Gli esempi riportati dalle linee guida evidenziano:
- gli elementi salienti di ciascun incidente
- le ripercussioni in termini di rischi prodotti
- gli adempimenti che si rendono necessari
- le misure di mitigazione e di correzione ipotizzabili.